Uma investigação para a PrivacyCon da Comissão Federal de Comércio dos Estados Unidos (FTC) comandada por um grupo de especialistas em cibersegurança do Instituto Internacional de Ciências Computacionais (ICSI) analisaram a fundo o comportamento de mais de 88 mil aplicativos Android, onde descobriram que 1.325 apps compilavam dados de usuários, mesmo quando as permissões são explicitamente negadas.
Alguns aplicativos abusam das permissões concedidas pelo usuário, e essa investigação revela que, em alguns casos, não importa negar a permissão: alguns aplicativos encontram formas de seguir coletando informações privadas mesmo sem a permissão do usuário.
A solução viria com o Android Q
Os aplicativos denunciados conseguem acessar registros telefônicos, dados de geolocalização, dados e arquivos pessoais, além de certos identificadores do smartphone, algo que fariam de forma silenciosa, em segundo plano, e sem a permissão por parte o usuário.
Desde setembro de 2018, Google e FTC foram notificadas sobre essa vulnerabilidade, e a gigante de Mountain View informou que resolveriam o problema com o lançamento do Android Q, que tem na privacidade um dos seus ponto centrais, através dos novos controles baseados em permissões mais restritas, que está relacionado com o que hoje conhecemos como parte dessa investigação.
A investigação revela que os aplicativos que abusam dessa vulnerabilidade se aproveitam de brechas de segurança e soluções ocultas no código, como conexões WiFi e metadados de fotos, como as coordenadas do GPS nas fotos que são enviadas para servidores mesmo sem permissão para acessar o GPS do telefone.
Outros aplicativos aproveitam as permissão de “ver dados pessoais” para acessar os arquivos não protegidos do microSD e coletam informações adicionais que supostamente não deveriam ter acesso. Mesmo assim, foi detectado que aplicativos que atuam como controle remoto podem aproveitar a conexão WiFi para conhecer o endereço MAC do roteador, além da localização e os dados enviados e recebidos.
A lista completa de 1.325 aplicativos que abusam das permissões do Android e os detalhes das ações de cada um deles será revelada em agosto, durante a Conferência de Segurança da Usenix.